stringtranslate.com

Análisis forense estocástico

La ciencia forense estocástica es un método para reconstruir forensemente la actividad digital carente de artefactos , mediante el análisis de propiedades emergentes que resultan de la naturaleza estocástica de las computadoras modernas. [1] [2] [3] A diferencia de la ciencia forense informática tradicional , que se basa en artefactos digitales , la ciencia forense estocástica no requiere artefactos y, por lo tanto, puede recrear actividad que de otro modo sería invisible. [3] Su principal aplicación es la investigación del robo de datos internos . [1] [2] [4]

Historia

La ciencia forense estocástica fue inventada en 2010 por el científico informático Jonathan Grier para detectar e investigar el robo de datos internos . [2] El robo de datos internos ha sido notoriamente difícil de investigar utilizando métodos tradicionales, ya que no crea ningún artefacto (como cambios en los atributos de archivo o en el Registro de Windows ). [3] [5] En consecuencia, la industria exigió una nueva técnica de investigación. [6]

Desde su invención, la ciencia forense estocástica se ha utilizado en investigaciones del mundo real sobre el robo de datos internos, [6] ha sido objeto de investigación académica, [1] [7] y ha satisfecho la demanda de la industria de herramientas y capacitación. [2] [8] [9]

Orígenes de la mecánica estadística

La ciencia forense estocástica se inspira en el método de mecánica estadística utilizado en física . [2] [6] La mecánica newtoniana clásica calcula la posición exacta y el momento de cada partícula en un sistema. Esto funciona bien para sistemas, como el Sistema Solar , que consisten en una pequeña cantidad de objetos. Sin embargo, no se puede utilizar para estudiar cosas como un gas , que tiene una cantidad intratablemente grande de moléculas . La mecánica estadística, sin embargo, no intenta rastrear las propiedades de partículas individuales, sino solo las propiedades que emergen estadísticamente. Por lo tanto, puede analizar sistemas complejos sin necesidad de saber la posición exacta de sus partículas individuales.

No podemos predecir cómo se moverá y se agitará una molécula individual, pero al aceptar esa aleatoriedad y describirla matemáticamente, podemos usar las leyes de la estadística para predecir con precisión el comportamiento general del gas. La física experimentó un cambio de paradigma similar a fines del siglo XIX... ¿Podría la ciencia forense digital necesitar también un cambio de paradigma similar?

—  Jonathan Grier, "Investigación del robo de datos con análisis forense estocástico", Digital Forensics Magazine , mayo de 2012

De la misma manera, los sistemas informáticos modernos, que pueden tener más de un estado, son demasiado complejos para ser analizados por completo. Por lo tanto, la ciencia forense estocástica considera a las computadoras como un proceso estocástico que, aunque impredecible, tiene propiedades probabilísticas bien definidas . Al analizar estas propiedades estadísticamente , la mecánica estocástica puede reconstruir la actividad que tuvo lugar, incluso si la actividad no creó ningún artefacto. [2] [3] [6]

Uso en la investigación del robo de datos internos

La principal aplicación de la ciencia forense estocástica es la detección e investigación de robos de información privilegiada . El robo de información privilegiada suele ser realizado por alguien que está técnicamente autorizado para acceder a los datos y que los utiliza regularmente como parte de su trabajo. No crea artefactos ni cambia los atributos de los archivos o el Registro de Windows . [5] En consecuencia, a diferencia de los ataques informáticos externos , que, por su naturaleza, dejan rastros del ataque, el robo de información privilegiada es prácticamente invisible. [3]

Sin embargo, la distribución estadística de los metadatos de los sistemas de archivos se ve afectada por este tipo de copias a gran escala. Al analizar esta distribución, la ciencia forense estocástica puede identificar y examinar este tipo de robo de datos. Los sistemas de archivos típicos tienen una distribución de acceso a archivos con colas pesadas . La copia en masa altera este patrón y, en consecuencia, es detectable. [1] [2]

Basándose en esto, la mecánica estocástica se ha utilizado para investigar con éxito el robo de datos internos donde otras técnicas han fallado. [1] [2] [3] [6] Normalmente, después de que la ciencia forense estocástica ha identificado el robo de datos, se requiere un seguimiento utilizando técnicas forenses tradicionales. [6]

Crítica

Se ha criticado a la ciencia forense estocástica por ofrecer únicamente pruebas e indicios de robo de datos, pero no pruebas concretas. De hecho, exige que el profesional "piense como Sherlock, no como Aristóteles". Ciertas actividades autorizadas, además del robo de datos, pueden causar alteraciones similares en las distribuciones estadísticas. [1] [6]

Además, muchos sistemas operativos no registran las marcas de tiempo de acceso de forma predeterminada, lo que hace que la investigación forense estocástica no sea directamente aplicable. Se están realizando investigaciones para aplicar la investigación forense estocástica a estos sistemas operativos, así como a las bases de datos . [2]

Además, en su estado actual, la investigación forense estocástica requiere que un analista forense capacitado la aplique y evalúe. Se han recibido solicitudes para que Guidance Software y otros desarrolladores desarrollen herramientas para automatizar la investigación forense estocástica. [2]

Referencias

  1. ^ abcdef Grier, Jonathan (2011). "Detección del robo de datos mediante análisis forense estocástico". Journal of Digital Investigation . 8 (Suplemento), S71-S77.
  2. ^ abcdefghij Schwartz, Mathew J. (13 de diciembre de 2011). "Cómo la ciencia forense digital detecta el robo interno". Information Week .
  3. ^ abcdef Chickowski, Ericka (26 de junio de 2012). "Nuevo método forense podría atrapar a ladrones infiltrados". Dark Reading.
  4. ^ "Amenazas internas en el punto de mira" (agosto de 2012). Revista SC
  5. ^ ab Carvey, Harlan. "Kit de herramientas de DVD para análisis forense de Windows". 2.ª ed. Syngress Publishing; 2009.
  6. ^ abcdefg Grier, Jonathan (mayo de 2012). "Investigación del robo de datos con análisis forense estocástico". "Revista Digital Forensics".
  7. ^ Nishide, T., Miyazaki, S. y Sakurai, K. (2012). "Análisis de seguridad de sistemas de dinero electrónico fuera de línea con malware interno". Revista de redes móviles inalámbricas, computación ubicua y aplicaciones confiables, 3(1/2), 55-71.
  8. ^ Centro de Delitos Cibernéticos del Departamento de Defensa , Agenda DC3 2012.
  9. ^ Black Hat Briefings , EE. UU. 2012. Cómo detectar el robo de datos internos mediante análisis forense estocástico.

Enlaces externos